Firefox の拡張 Greasemonkey に重大なセキュリティ問題

2005年7月21日(木) 22時43分 by level
B ?

Greaseblog: Mandatory Greasemonkey Update によると、Firefox の拡張 Greasemonkey に重大なセキュリティ上の問題が発見されたそうです。この問題により、悪意あるサイトでユーザスクリプトが起動されたときに、ユーザのコンピュータ上のファイルを読まれたりリストを取られたりする可能性があります。問題が起こるのは 3.5 より古いすべてのバージョンと、一部の 4.0 アルファバージョンです。ユーザは Greasemonkey 3.5 をインストールするか、旧バージョンの利用を中止することを強く勧められています。

追記

tapotの日記にもう少し詳しい内容が書いてあります。

追記2

"Greaseblog: Greasemonkey hole proves Firefox is insecure? Not so much.(Greasemonkey のセキュリティホールは Firefox が安全でないことの証明か? いやそうでもないよ。) に作者のコメントが。

これは Firefox のセキュリティに対して何かを示すものではないと考えていることを明らかにしたい。Firefox は - 他のブラウザと同様に - 独立して開発されたプログラムを、明確な確認と承認の元に、ユーザがインストールしブラウザのセキュリティコンテキストの中で実行することを許可する拡張システムを持っている。

このような拡張が欠陥を持つことは、Firefox そのものに非難を向けるべきではない。欠陥のあるコードは Firefox とは独立に開発された。これは、例えばブラウザ自身が拡張機能をユーザの承認なしに黙ってインストールしてしまうような問題を持つ場合とは完全に別のはなしだ。

責められるべきは Greasemonkey 自身であり、それが動作するプロットフォームである Firefox には関係ないということ。例えば、大抵の OS にはユーザが開発したプログラムをインストールして実行できるが、そのプログラムに欠陥があったら、それは OS の問題ではなく、プログラムそのものの問題だ、ということです。Java のように、プラットフォーム側で、アプリケーションの動作を厳しく制限するという考えもありますが、そこは利便性と安全性のトレードオフになります。そこの線引きを何処におくかは、システムの設計思想に依存するわけですが、もし、Firefox が責められるならば、その部分でしょうね。

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. 閾値以下のデータしかありません。